第１４２号コラム「スマートグリッドのサイバーセキュリティ」

第１４２号コラム：　名和 利男　理事（株式会社サイバーディフェンス研究所　上級分析官）
題：「スマートグリッドのサイバーセキュリティ」

最近、テレビ CM 等で「マイホーム発電」や「住宅用太陽光発電システム」等の宣伝が多くなってきているとお気づきの方は多いと思います。専門的には、分散型電源と呼ばれる、電力共有の一つの形態です。

これらは、新しい電力サービスの流れに沿ったものであり、近い将来、本格導入が進むと言われているスマートグリッドに関連するものでもあります。

この「スマートグリッド」には、様々な利害関係者が参画していますが、それぞれの観点は、次のように大きく異なっています。

電力関連会社　　　⇒　次世代送電網
需要家　　　　　　⇒　HEMS（家庭内エネルギー管理システム）の延長
サービス提供会社　⇒　ビジネスチャンス
政府　　　　　　　⇒　再生可能エネルギー、雇用促進 等

※需要家とは、電力会社等から電気の供給を受ける者を指します。
※サービス提供会社は、IT関連会社等を示すことが多いです。

現在、化石燃料等により安定的に発電された電力が、電力系統を通じて、需要家に対して供給されていますが、近い将来、太陽光や風力などの自然エネルギーにより発電された電力が供給されることになります。一部においては、すでに実現しているところもあります。しかし、自然エネルギーは、気候変動や天候によって出力が不安定になる特性を持っています。また、冒頭で触れたように、需要家において分散型電源の設置が進んでいる状況があり、一部は需要家から電力系統に向けた電力の流れを発生させるものがあります（これを逆潮流といいます）。つまり、電力系統から見た「電力の供給と需要のあり方」に大きな変化が発生し、電力系統における処理を複雑かつ高度なものにしていく必要が出てきます。

このような状況を効率的かつ低コストで解決しつつ、運用の利便性を高めることを期待して、情報通信の技術とインフラを積極的に利活用していこうとするのが、「スマートグリッド」の一つの側面です。ただし、欧州及び米国における「スマートグリッドに対する期待」は、日本のそれとは異なるところがあるので留意が必要です。（このコラムでは、その説明を割愛します。）

そして、次世代の電力系統に、様々な形で組み込まれる情報通信の技術やインフラには、セキュリティ上の脅威による影響が存在することを無視してはなりません。このような認識の中、昨年９月、米国NIST（国立標準技術研究所）が、スマートグリッドのサイバーセキュリテイに関するガイドラインを発行しました。

Guidelines for Smart Grid Cyber Security
※　http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7628　リンク切れ　※

（この文書の中に、少しだけですが、フォレンジック分析に関することが記載されています。）

しかしながら、今年１月、米国GAO（政府監査機関）が、このガイドライン等を評価した結果、重要な要素の一部が欠落しているという評価を下しました。

Electricity Grid Modernization: Progress Being Made on Cybersecurity Guidelines, but Key Challenges Remain to be Addressed
http://www.gao.gov/products/GAO-11-117

以上のように、スマートグリッドに関するサイバーセキュリティは、十分に成熟しているとは言えない状況ですが、欧米では大きな関心事となっています。

スマートグリッドのサイバーセキュリティを理解するためには、電力系統の制御技術及び情報通信技術のそれぞれの特性の違いや、運用によって顕在化するような課題（スマートメーターが出力するデータがプライバジー情報となりうる等）を十分に検討する必要があります。それに加えて、今まで当たり前のように直接管理できていたものが、第三者の管理に委ねなければならない領域が発生することに目を向けなければなりません。

例えば、スマートグリッドの一部領域において、インターネットを活用する場合があると仮定すると、不正なDNS書き換え、なりすまし、そして、DDoS攻撃等の脅威に対して、どのようなレベルでどのような対策が必要なのかを決めなければなりません。また、それらによる深刻な影響があった場合の運用のあり方についても、事前に合意形成を取り付けておく必要があります。

その他にもさまざまな課題が徐々に見えてきていますが、スマートグリッドにおける情報通信の技術やインフラの利活用においては、利便性や低コスト等のみに目を向けずに、実在のサイバー脅威をしっかりと把握し、リスクが発生する可能性のある部位に対して、適切なセキュリティ対策を「本格的な運用がされる前に」確実に施していくことが最も重要となります。

【著作権は名和氏に属します】